AWS VPN & Direct Connect

VPN 개요

출처 : AWS Certified solution Architecture

• 인터넷을 이용해 가상 사설망 (Virtual Private Network)을 구성하는 것
• VPN 트래픽은 VPN 프로토콜로 보호 된다.
• Private IP를 통해 Main Office와 Branch Office를 통신하려고 한다.
• 각각의 라우터끼리 IPSec Tunnel를 만들어 연결해준다. 
  • 이터널안에선 Private한 통신이 가능한데 이걸 가상 사설망이라고 부른다.
  • IPSec : Site - to - Site VPN 암호화 프로토콜이다.
• 노트북 클라이언트에서도 VPN 소프트웨어를 통해 Private 망으로 연결할 수있다.
  • (TSL 프로토콜)

 

 

1) AWS VPN 연결 옵션 - Client VPN

출처 : AWS Certified solution Architecture

•  AWS 리소스와 클라이언트 PC와 연결하는 OpenVPN 기반의 VPN 서비스
• Active Directory 등의 자격증명을 이용해 클라이언트가 VPN에 사용하는 권한을 부여
• 클라이언트는 VPN 접속을 위한 VPN 구성 파일이 담긴 소프트웨어를 설치
• VPC에 Client VPN Endpoint를 설치하고 Laptop에도 이 Endpoint의 소프트웨어를 설치한다.
  
  • 인터넷을 통해 이 S/W와 Client VPN Endpoint를 연결한다.
  • 이런 방법으로 AWS와 Laptop이 Private하게 통신할 수 있게 해준다.

 

2) AWS VPN 연결 옵션 - Site_to_Site VPN (AWS Managed VPN)

• IPSec 암호화 프로토콜을 사용하여 AWS VPC와 온-프레미스간에 Private Network를 구성
• AWS에는 VGW를, ON-Prem에서는 CGD Router를 설치한다. 
• AWS 클라우드에 Customer Gateway를 설치한다.
  • 온프레미스 데이터센터의 CGD(Customer Gateway Datacenter) Router의 IP주소가 저장된 것
  • CG를 구성할때 물리적인 것이 아닌 AWS 서비스이므로 구성할때 사용자의 온프레미스 환경을 입력하도록 한다.
• VGW와 CGD Router간의 인터넷 연결을 만들어준다. (IPSec Tunnel를 통해 VPN Connection 구성)
  • VPC와 연결을 위한 Virtual Privagte Gateway 및 온-프레미스의 Customer Gateway Device의 정보를 구성하기 위한 Customer Gateway를 설정하여 VPN Tunnel 연결을 만든다.
• AWS Direct Connect의 백업으로 사용 가능
• VPN 터널당 최대 대역폭은 1.25Gbps

그렇다면 AWS Direct Connect란??

 

Direct Connect

이전 VPN은 인터넷을 사용한 Private한 네트워크 연결망을 만들었다. 여기서는 물리적인 선을 이용해서 만드는 것이다.

• AWS와 온-프레미스 간에 DX Location을 통한 전용선을 통해 프라이빗 네트워크 연결생성
• 포트탕 1Gbps, 10Gbps, 100Gbps 연결 속도 사용 가능
• 물리적인 구성을 해야 하기에 설치 시간이 오래 걸림
• VPN보다 가격이 비싸며 인터넷을 통하지 않기에 인터넷 전송 비용이 들지 않음
• 기본적으로 암호화를 지원하지 않음 (암호화를 위해 Direct Connect에 VPN을 구성 가능)

• DX는 통신사라고 가정하자. SKT 소유의 Router와 고객 소유의 Router가 있다.
• On-Premise의 Router와 고객 소유의 Router를 WAN 고속 선으로 연결한다.
• 그리고 DX안에 각각의 Router끼리 연결을 만들어 준다.
• AWS 클라우드에 가상 인터페이스가 있다. (VIF)
  • 가상 인터페이스는 AWS 리소스가 연결되는 인터페이스다.
• 이 인터페이스와 전용선 열결을 통해 Router를 또 연결한다.
• 왼쪽은 AWS가 관리하고, 오른쪽은 고객이나 통신사가 관리한다.